Accueil / Données personnelles / Pour la CJUE le Privacy Shield américain est incompatible avec le RGPD européen

Pour la CJUE le Privacy Shield américain est incompatible avec le RGPD européen

Après avoir dénoncé le Safe Harbor en 2015, la Cour de justice de l’Union européenne invalident son successeur, le Privacy Shield un accord qui permettait le transfert de données personnelles de l’Europe vers les Etats-Unis depuis 2016.

 

C’est une affaire qui opposait depuis plusieurs années le réseau social Facebook à l’avocat autrichien Max Schrems.

Celui-ci s’interrogeait sur la légalité au regard de la législation européenne du Privacy Shield, un mécanisme de surveillance mis en place par les Etats-Unis et permettant le transfert de données personnelles de l’Europe vers les Etats-Unis.

La CJUE vient d’abonder en son sens, ce 16 juillet 2020, en estimant que le Privacy Shield américain (qui donne notamment un très large pouvoir d’appréciation et d’analyse à la NSA), était en l’état incompatible avec le RGPD européen.

En pratique, à l’issue de l’arrêt de la CJUE, les données personnelles des citoyens européens ne pourront plus en envoyées, traitées et analysées sur des serveurs basés aux Etats-Unis.

RGPD-CNIL

« Il est clair que les Etats-Unis vont devoir changer leurs lois sur la surveillance si les entreprises américaines veulent continuer à jouer une rôle sur le marché européen », a indiqué Max Schrems dans un communiqué.

Et à ce titre, pour les milliers d’entreprises américaines concernées par cette décision le chantier de mise en conformité avec la législation européenne s’annonce colossal.

La CJUE laisse cependant une (toute petite) porte ouverte en autorisant un autre mécanisme: les SCC.

Ces Standard Contractual Clauses (SCC) sont des contrats qui peuvent être signés par des entreprises pour exporter des données personnelles à l’extérieur de l’Union européenne, à condition que les lois du pays destinataire de ces données soient compatibles avec la législation européenne en matière de données personnelles.

On voit que s’agissant des Etats-Unis, et relativement à la conformité au RGPD, la position de la CJUE relève plus de la fin de non-recevoir que d’autre chose.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.